当前位置：首页 > news >正文

wordpress登录ftp/沧州seo推广

news 2025/7/27 20:23:58

wordpress登录ftp,沧州seo推广,京津冀协同发展调研报告,苏州模板网站建站8种机械键盘轴体对比本人程序员，要买一个写代码的键盘，请问红轴和茶轴怎么选？知识点本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码，帮助我们快速的提升形成恶意代码功能的高级视图的能力全局变量|局部变量&#x…

8种机械键盘轴体对比

本人程序员，要买一个写代码的键盘，请问红轴和茶轴怎么选？

知识点

本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码，帮助我们快速的提升形成恶意代码功能的高级视图的能力

全局变量|局部变量：全局变量可以被程序中任意函数访问和使用，局部变量只能在它被定义的函数中访问，在汇编代码中，全局变量通过内存地址引用，而局部变量通过栈地址引用。

识别if语句：有if语句一定存在跳转，但是有跳转不一定是if语句，if语句前有一个cmp指令用于对比条件，之后会有一个jnz指令来决定是否进行跳转。

for循环：for循环是一个C变成使用的基本循环机制。for循环总之有四个组件：初始化、比较、执行命令、变量的递增或递减。

while循环：while循环与for循环的汇编代码类似，但是区别在于while循环没有递增或者递减的代码。当一个cmp指令返回一定的值后while循环就会终止。

switch语句：switch语句通常以两种方式被编译，使用if样式或者使用跳转表。跳转表是编译器对汇编代码做出的优化，一旦很多个cmp指令的数据成等差数列，则编译器会把跳转地址与数据联系起来做成跳转表。

函数调用约定：函数调用约定决定了函数调用发生的方式，这些约定包含了参数被放在栈上或寄存器中的次序，以及是由调用者还是被调用者负责在函数执行完成时清理栈。以下时常见的三种调用约定;cdecl：这是最常用的调用约定之一，此约定下。参数从右至左被压入栈，当函数执行完成后由调用者清理栈。

stdcall：除了被调用者在函数执行完成之后清理栈之外，其他与cdecl约定非常类似。

fastcall：fastcall调用约定跨编译器时变化最多，但是整体上的工作情况时类似的，在此约定中，前一些参数(典型的是前两个)被传到寄存器中，备用的寄存器是EDX和ECX(微软fastcall约定)，如果需要的话，剩下的参数再以从右至左的次序被加载到栈上，通常使用fastcall比其他约定更高效。

反汇编数组：在汇编代码中，数组是通过一个基地址作为起始点来进行访问的，每一个元素的大小并不总是明显的，但是可以通过看这个数组是如何被索引的来进行判断。

识别结构体：结构体和数组类似，在IDA中可以使用热键T来建立结构体的识别。

课后练习

Lab6-1

在这个实验中，你将分析在文件Lab06-01.exe中发现的恶意代码。

问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么？

可以由IDA的图形模式很简单的看出这是一个if语句的结构

2.位于0x40105F的子过程是什么？

printf

3.这个程序的目的是什么？

跟着程序的顺序走，先找到main函数：

main函数中只有一处函数调用sub_401000，查看该函数的逻辑：1

30.text:00401000 sub_401000 proc near ; CODE XREF: _main+4↓p

.text:00401000

.text:00401000 var_4 = dword ptr -4

.text:00401000

.text:00401000 push ebp

.text:00401001 mov ebp, esp

.text:00401003 push ecx

.text:00401004 push 0 ; dwReserved

.text:00401006 push 0 ; lpdwFlags

.text:00401008 call ds:InternetGetConnectedState

.text:0040100E mov [ebp+var_4], eax

.text:00401011 cmp [ebp+var_4], 0

.text:00401015 jz short loc_40102B

.text:00401017 push offset aSuccessInterne ; "Success: Internet Connectionn"

.text:0040101C call sub_40105F

.text:00401021 add esp, 4

.text:00401024 mov eax, 1

.text:00401029 jmp short loc_40103A

.text:0040102B

.text:0040102B loc_40102B: ; CODE XREF: sub_401000+15↑j

.text:0040102B push offset aError11NoInter ; "Error 1.1: No Internetn"

.text:00401030 call sub_40105F

.text:00401035 add esp, 4

.text:00401038 xor eax, eax

.text:0040103A

.text:0040103A loc_40103A: ; CODE XREF: sub_401000+29↑j

.text:0040103A mov esp, ebp

.text:0040103C pop ebp

.text:0040103D retn

.text:0040103D sub_401000 endp

可以从以上内容看到决定jz跳转的是函数InternetGetConnectedState，查阅MSDN发现此函数当存在一个可用的网络连接时返回值为1，ZF标志位为0，jz指令不执行，因此程序调用printf输出"Success: Internet Connectionn"否则输出"Error 1.1: No Internetn"。因此可以得出判断这是一个用于测试网络连接状态的函数。

Lab6-2

分析在Lab06-02.exe中发现的恶意代码。

问题

1.main函数调用的第一个子过程执行了什么操作？

发现这道题的程序跟上一题是一模一样的，就是判断当前是否有网络连接。

2.位于0x40117F的子过程是什么？

还是跟上题一样，printf()

3.被main函数调用的第二个子过程做了什么？

尝试下载http://www.practicalmalwareanalysis.com/cc.htm并解析此网页的注释部分。1.data:004070C40000002FChttp://www.practicalmalwareanalysis.com/cc.htm1

9if ( Buffer != '

{

sub_401271(aError23FailToG);